Amplify 如何与之集成 AWS WAF - AWS Amplify 托管
Amplify Web ACL 资源策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amplify 如何与之集成 AWS WAF

以下列表详细介绍了如何与防火墙支持集成,以及在创建网页并将其与 AWS WAF Amplify ACLs 应用程序关联时需要考虑的限制。

  • 您可以 AWS WAF 为任何类型的 Amplify 应用程序启用。这包括任何支持的框架、服务器端渲染 (SSR) 应用程序和完全静态的站点。 AWS WAF 支持 Amplify 第 1 代和第 2 代应用程序。

  • 您必须创建要与全球 (CloudFront) 区域中的 Amplify 应用程序关联的网站 ACLs 。您 ACLs 可能已经存在区域网络 AWS 账户,但它们与 Amplify 不兼容。

  • Web ACL 和 Amplify 应用程序必须在同一 AWS 账户中创建。您可以使用 AWS Firewall Manager 在多个之间复制 AWS WAF 规则 AWS 账户,以简化组织规则的集中化和分布在多个组织中的过程 AWS 账户。有关更多信息,请参阅《 AWS WAF 开发人员指南》中的 AWS Firewall Manager

  • 您可以在同一 AWS 账户中的多个 Amplify 应用程序之间共享同一 Web ACL。所有应用程序都必须位于同一区域。

  • 将 Web ACL 关联到 Amplify 应用程序时,默认情况下该 Web ACL 会附加到该应用程序中的每个分支。当您创建新分支时,这些分支将会关联该 Web ACL。

  • 将 Web ACL 关联到 Amplify 应用程序时,将会自动关联到该应用程序的所有域。不过您可以使用主机标头匹配规则,来配置适用于单独域名的规则。

  • 您无法删除已关联到 Amplify 应用程序的 Web ACL。在 AWS WAF 控制台中删除 Web ACL 之前,需要将其与应用程序解除关联。

Amplify Web ACL 资源策略

为允许 Amplify 访问您的 Web ACL,系统会在关联过程中间将一个资源策略附加到该 Web ACL。Amplify 会自动构造此资源策略,但你可以使用 API 进行查看。 AWS WAFV2 GetPermissionPolicy需要具备以下 IAM 权限才能将 Web ACL 关联到 Amplify 应用程序。

  • 放大:AssociateWeb前交叉韧带

  • wafv2:前交叉韧带 AssociateWeb

  • wafv2:PutPermissionPolicy

  • wafv2:GetPermissionPolicy